吐槽系列(1):安全热词造词填词姿势大全

为什么会写这篇文章？

笔者近一年多没向Bruce交稿，一方面是因为个人变动颇多，所以无暇动笔（实际是拖延癌晚期不治），另一方面则是深感自身积累不够，故努力学习中（习惯性地再为自己找个借口）。加之近期出现了针对本人的某些外围盘口，严重打击了我个人做咸鱼的积极性。所以，我决定交个稿表明下态度：这次我是认真的。

另外，文内观点可能引起部分人感觉不适，建议对号入座的当做戒断反应处理。

序言

不知道从什么时候开始，安全行业开始大规模“造词填词”运动。

在以前，国内新技术名词的诞生，大多源自大家向国外同行学习时，习惯性连核带皮做复刻后的顺带产物，既符合自己本身产品的定位，也是实际市场推广的需要。而如今，一方面国内外同行们在Gartner等大师的洗礼下节操也开始往下掉了，造词填词能力日新月异；另一方面，国内行业急速扩张后，大量专家拎包入行，推陈出新，“生造”水平青出于蓝。

于是乎，近几年在大大小小的安全会议上，笔者总能在大屏幕上的产品PPT中看到一连串的大写英文、大小写英文，甚至中英双语的新技术名词。而且，越是高端，越是人多的会议，新名词越多，甚至出现了不同厂商之间造词重合的“撞车”事件，其尴尬程度堪比国内女星红毯“撞衫”。其中姿势，令人瞠目。

造词：运用之妙，存乎一心

说到造词，X系列是最常见的手法。一般来说，X多是N（Network）、H（Host-based）、E（Endpoint）这些，后面挂接类似DLP、IDS、IPS这些常见产品或技术的缩写词时，大致都能明白说的是啥。但是，最近看到不少碉堡的新产品和新技术，其缩写名词堪称魔幻现实主义。下面举几个栗子，博君一笑。

1、XBAC系列

先拿个简单栗子试下水。我们都知道RBAC（基于角色的权限控制）和ABAC（基于属性的权限控制），当然还有IBM的LBAC（基于标签的权限控制）。虽然，个人认为标签（Label）实际也是属性（Attribute），但是IBM爸爸说了算。因此，国内不少厂商在设计、宣传自身权限控制产品和技术时，基于中文语义，诞生了不少XBAC类名词，例如：

• 基于流程的权限控制—PBAC；
• 基于任务的权限控制—TBAC；
• 基于本体的权限控制—OBAC；
• 基于行为的权限控制—BBAC；
• 基于数据分类的权限控制—CBAC。

但是，英文单词只有26个啊，XBAC多了总会有撞车的，加上英文的同义词也蛮多的，于是乎，就可能出现以下几种情况：

• 基于标签的权限控制既可以是LBAC（Label）也可能是TBAC（Tag）；
• 基于行为的权限控制既可以是BBAC（Behavior），也可能是ABAC（Action）；
• TBAC既可以是基于任务（Task）的，也可能是基于标签（Tag）的；
• ABAC既可以是基于属性（Attribute）的，也可能是基于资产（Asset）的，还可能是是基于动作（Action）的，更魔幻的可能会是基于授权（Authorization）的。

当然，可以尝试更长的前缀，这样的话可用空间就更大了。比如这个，eIDBAC—基于公民电子身份标识的权限控制，或者是这个，AIBAC—基于人工智能的权限控制，还有这个FaceBAC—基于人脸识别的权限控制…是不是很魔幻，是不是很带感？

2、XDR系列

这个系列最早，也是最为人熟知的就是EDR（ Endpoint Detection and Response），记得在14年的时候，Gartner就将EDR列为年度十大安全技术了。而从这几年的发展来说，EDR的理念拯救和盘活了一大批苦苦挣扎的国内端点安全厂商，比如某植物云、某锁，还有我的前东家。同时，DR=检测与响应，这等天赐的万能造词组合，厂商们的售前专家怎能错过。最开始还只是从EDR变成NDR（Network），到后面，出现了TDR（Threat）、MDR（Managed）、CBDR（Cloud-Based）、ADR（Attack）、AIDR（AI- driven）…还有两个EDR：一个是邮件检测与响应（Email），一个是突发事件检测与响应（Emergency）。有鉴于XDR的超级适配性，厂商们在各类宣传材料或PPT中的产品矩阵图或是技术特点介绍内充斥着大量的新造“XDR”。笔者见过最多的是某厂凑齐的“十八罗汉”XDR产品矩阵，上述举例中大部分素材均来源于此。而且个人觉得，只要活得够久，总能见到“三十六天罡”和“七十二地煞”XDR。

填词：天予不取,反受其咎

到这里，先得说下造词和填词的区别。造词，很好理解，在一个行业共识的技术缩写词的基础上，根据语义做延伸创造新的缩写词。而我认为的填词，则是将行业兴起的技术热词引进到自身的技术体系和产品理念中。因此，相对于纯粹基于语义的造词，填词对厂商的产品经理、售前专家们的要求更高，一是要有足够的知识广度与深度，较强的技术理解能力，才能从简单的定义和介绍材料中快速地理解热词的技术本质和核心理念；二是要有丰富的从业经验和前瞻性，能判断某个技术热词是否真会成为未来的趋势，而不是某个昙花一现的“天坑”；同时，还要有一套逻辑自洽的理论，将热词与自家产品紧密结合，，以体现自身产品的先进性和前瞻性。这就是我们常说的要：看得明白，想得通透，说得清楚。

然而，理想很丰满，现实很骨感。随着厂商们业务的快速扩张，老一批技术骨干的隐居幕后，新晋专家们的拎包入行，加之安全行业在“向互联网企业学习”热潮中学到了一些皮毛的、简单粗暴的市场营销手段，“填词”变成了安全技术热词的无限制滥用。下面几个就是典型例子。

1、态势感知SA（Situational Awareness）

如果统计这四五年中，哪个安全技术热词被“填”的次数最多，无疑就是“态势感知”了。大大当年一篇讲话，彻底带火了SA。直至今日，你能数的出来的安全厂商，十个里面有九个有一款主打的态势感知产品，剩下一个有不止一款。

然而，深入去研究这些产品后你会发现，这些产品大多只是披着“态势感知”这层皮的检测产品，实际还是老一套的检测探针加可以做统计的管理后台。而在交流后，你还会发现，大部分厂商的售前根本说不清楚什么是态势感知，什么是认知、理解、预测模型，还有从未被提及的反馈机制，只会反复强调，我能发现资产，我能统计漏洞，我能看到告警，我能接别家的日志…

此外，还有某些厂商，将NTA类产品冠以“态势感知”之名，一副只要有流量即可包打天下的神情，也是令人哭笑不得。更有甚者，把基于redash或Kibana改的告警Dashboard，最多再加个地图图层和biubiu地图炮展现，也叫做“态势感知”。

2、安全编排与自动化响应SOAR（Security Orchestration, Automation and Response）

SOAR是Gartner在2017年重点推的概念之一，而在更早的Arcsight当道的时候，SOAR技术实际已有较成熟的应用和理论基础。而SOAR成为热词的原因，一是Splunk用3.5亿美元收购了Phantom，刺激了大家的神经。二是Gartner分析师对SOAR做了相当出色的理论包装。三是国内近年来对Gartner各项排名和报告的追捧，很多甲方也很买Gartner的账。于是乎，各家厂商纷纷上马SOAR，或是单独产品，或是与SOC/SIEM集成。

但是，就笔者接触过的几家来看，SOAR也被“填词”地厉害。很普遍的一种做法，就是把原来产品的自定义规则功能模块改了个看似是工作流的页面展现形式。看上去的确高大上，但只要问细一点，或是上手操作一下，模拟下可编排的复杂场景，基本就麻爪了。

此外，建议厂商的产品经理们先好好理解一下Phantom官网对编排的官方介绍的第一句话：“Phantom 灵活的应用程序模型支持数百个应用程序和数千个 API”。就冲这句话，推销自家SOAR产品时，先想想自家产品有没做到全面支持，自家产品是不是做到了API化再说吧。连自家同一产品线的产品都能做到因版本不同而数据格式互不兼容的，或是一个端点产品无法对外提供API接口输出告警和日志的，谈什么SOAR？

当然，还有抑制不住自己的发散思维的。比如，有将各种算法也加入到自家所谓SOAR模块中的，不但可以选择一大堆的“算法”，而且可以选择一大堆的“算子”。当问到怎么用，用于什么场景，效果如何时，答曰：只是给自己工程师用的而不是给客户用的，很少会用到，效果棒棒的。这种回答蕴含的猫腻和语气中透露的无奈，其真实情况不言而喻。

再比如，有将自家SOC的工单模块改头换面一下后号称是SOAR的，有将自家SOC/SIEM的系统管理模块改成SOAR的，还有将产品的权限管理模块改成SOAR的。各种脑洞，突破了想象的边际。

3、网络威胁情报CTI（Cyber Threat Intelligence）

除了前面2个，CTI也是近几年的“填词”热门。相对前面2个词填起来还要些基础能力和想象力外，CTI的填词方法更为简单粗暴。

最典型的方法就是“换皮肤”，把产品中普遍存在的黑名单的名字改为CTI或IOC，瞬间就变成了支持CTI的厂商和产品。至于什么情报的采集机制、传输机制、数据模型、聚合机制、分发机制什么的，安全村、安全内参、FreeBuf等都有大量材料，随便摘一点理论，抄个架构图，加上一句“这些都是内置的”，就能对付过去。反正对于不太懂CTI的用户而言，最终输出的到底是IOC还是黑名单，看上去真的没啥区别。

另外很有意思的一件事，我碰过某厂商的售前，说自己的SOC产品接入了自身独有的IOA指标。然而，在我详细了解后才发现，所谓的IOA指标，实际就是一个snort规则库加Yara规则库，而其中的规则与网上可公开下载的相关规则库重合度极高。这种对IOA的换皮大法，也算给笔者开了眼界。

4、MITRE ATT&CK™

说到最近安全技术热词的当红炸子鸡，那当属ATT&CK。在我理解，ATT&CK并不是一项技术，而是更接近于与NIST提出的SCAP体系类似的一个知识体系，里面应该会包含语言类、枚举类和度量类的内容、定义和方法，以模型、机制为主。同事，ATT&CK提供了一个开放社区，让学术、产业界每个感兴趣的人都能参与进来。这种体系建设与运作机制是鹰酱的惯用方法。

然而，在近一两年不少安全会议中，笔者碰到的很多厂商，甚至某些甲方，都在宣称自己采用了ATT&CK技术，并在自身的产品宣讲PPT中将ATT&CK作为一项关键功能模块大书特书，大谈自己完全采用了ATT&CK技术，因此任何攻击都能检测出来，绝不会有遗漏。自谦曰国内检测能力我认第二，看谁敢认第一。这种歪曲ATT&CK本意的填词方式，屡见不鲜。

顺带在最后，忍不住开个地图炮：真心希望各家厂商好好培养和锻炼自家的售前和专家们，很多概念、理论、技术并没有太多门槛，介绍和分析文章网上到处都有，看都不看一下就出来瞎吹胡吹的，不仅丢自己的人，也败东家的脸。

写在最后

在最后说下写这篇文章的真正目的。

造词填词，在商业角度，以及当前安全行业厂商所面临的压力下，作为在乙方蹲了十多年的人，笔者表示很能理解。然而，安全，和芯片、机床这些东西一样，无论外表如何花团锦簇，最终是要拉到战场上见真章，对外打硬仗的。无论热词怎么造，怎么填，内功修炼还是得扎实，该干的事还是得干好。

所以，希望大家少一点浮躁，多一点踏实。这个行业，毕竟我们还是要待很久的。